
Lain kali Anda memeriksa proyek perangkat lunak di GitHub, jangan menganggap banyak bintang sebagai indikator kualitas. Sebuah studi baru yang dilakukan oleh para peneliti di Carnegie Mellon University, Socket, dan North Carolina State University menunjukkan bagaimana bintang palsu digunakan untuk meningkatkan repositori GitHub yang berbahaya.
GitHub adalah salah satu situs terpopuler untuk menghosting proyek dan pengunduhan perangkat lunak, mulai dari Terminal Windows hingga 7-Zip. Orang dapat 'membintangi' repositori, yang mirip dengan 'suka' di platform media sosial, dan proyek dengan banyak bintang terkadang ditampilkan di halaman beranda GitHub dan tempat lain.
Ada beberapa laporan mengenai aktor jahat yang menambahkan ribuan bintang ke proyek palsu untuk mendorong malware, namun sebuah makalah penelitian baru menambahkan lebih banyak wawasan mengenai masalah ini. Ini menjelaskan bintang GitHub palsu bersumber dari “bot, manusia crowdsourcing, platform pertukaran tempat pengguna menukar bintang untuk mendapatkan hadiah,” dan metode serupa lainnya. Bintang-bintang tersebut dibeli untuk “peretasan pertumbuhan”, terkadang untuk menarik pendanaan VC, serta untuk mempromosikan repositori dengan malware. Makalah tersebut menjelaskan, “repositori dengan bintang palsu mendapatkan keuntungan yang tidak adil dalam kontes popularitas GitHub, yang kemudian dapat dieksploitasi dengan berbagai cara untuk merugikan pemangku kepentingan dalam rantai pasokan perangkat lunak.”
Para peneliti membangun alat yang disebut 'StarScout' yang memindai repositori dan akun GitHub untuk mencari kemungkinan bintang palsu, menggunakan dump database dari lima tahun terakhir. Hasil dari StarScout memperkirakan bahwa serangan bintang palsu semakin meningkat, dan ditemukan sekitar 4,5 juta bintang palsu di seluruh repositori yang dipindai. Beberapa proyek dengan bintang palsu tampaknya merupakan “perangkat lunak bajakan, cheat game, dan bot mata uang kripto,” tetapi dengan malware yang tersembunyi di dalam kodenya.
Makalah tersebut menyatakan, “Jumlah aktivitas pemberian bintang palsu telah meningkat sejak tahun 2022 dan melonjak pada tahun 2024 (perhatikan bahwa sumbu y ditransformasikan ke dalam log): Hampir setiap bulan sebelum tahun 2022 terdapat paling banyak 10 repositori dengan kampanye bintang palsu, namun jumlahnya bertambah menjadi selusin pada tahun 2022 dan 2023, dan terus bertambah menjadi ribuan pada tahun 2024. Aktivitas ini mencapai puncaknya pada bulan Juli 2024 dalam kumpulan data kami, ketika ada 3,216 repositori dengan kampanye bintang palsu dan 30,779 pengguna yang berpartisipasi.”
Hal ini sebagian besar hanya mengkhawatirkan bagi pengembang perangkat lunak, namun hal ini memengaruhi siapa pun yang menggunakan bintang di proyek GitHub sebagai indikator kualitas, keamanan, atau popularitas. Jika Anda tidak yakin apakah aplikasi atau proyek yang Anda lihat itu sah, periksa halaman masalah (para peneliti menemukan beberapa repositori berbahaya dengan peringatan yang diposting oleh pengguna sebagai masalah) dan temukan tautan ke proyek tersebut di situs terkemuka lainnya, seperti sebagai Wikipedia.
Sumber: 4,5 Juta (Diduga) Bintang Palsu di GitHub melalui Bleeping Computer